VARIANTE DEL VIRUS RECYCLER

Hace un año publique una entrada en mi blog acerca de como eliminar el virus Recycler. Ese virus que oculta las carpetas de la memoria usb, flash memory, usb pendrive o teléfono celular.

De acuerdo a mi actividad laboral estoy en contacto constante con computadoras, y en dichas computadoras acabo de encontrar una variante de este virus.
El nombre del virus no se exactamente cual es ya que he estado buscando en la red y no hay información o al menos no la he encontrado.

Pero bueno, creo que quieres saber que hace exactamente este nuevo virus. Tratare de explicar lo mejor que pueda que es lo que hace.

Al igual que el virus RECYCLER este también se copia a la memoria usb pero ahora lo que hace es crear una carpeta la cual no tiene nombre o al menos tiene de nombre un espacio en blanco y dentro de dicha carpeta mueve todo el contenido de la memoria usb.

También crea cinco archivos, el autorun.inf, desktop.ini, Thumbs.db, un acceso directo a tu memoria y un archivo con la extensión init.
Pongo la siguiente imagen como ejemplo de como quedo mi memoria después de ser infectada por dicho virus.

Ahora explicaré brevemente que son cada uno de los archivos que se crean...

Los archivos desktop.ini almacenan información acerca de cómo las carpetas de archivos y su contenido se muestra cuando los usuarios las están examinando. Los archivos desktop.ini no son necesarios para que una carpeta se muestre y no están presentes en todas las carpetas. Si se encuentran en la carpeta, un archivo desktop.ini puede contener información diversa, dependiendo de las aplicaciones que han obtenido acceso a la carpeta. Por ejemplo, el Explorador de Windows puede utilizar un archivo desktop.ini para almacenar el nombre y la ubicación del icono que representa la carpeta, el texto de la información sobre herramientas que aparece al pasar el puntero del mouse por encima de la carpeta o la forma en que se muestran los archivos de la carpeta.

Asi que como pueden ver, esos archivos no son ningun virus, ni siquiera es un archivo ejecutable asi que si fuera un virus no haria ningun daño, seria un virus muy estupido jajaja, lo que si puede suceder con este tipo de archivos es que, como se encuentran en muchas partes de tu computadora pueden ser utilizados por virus para propagarse, si este archivo aparece en algun lugar en el que no deberia estar quiere decir que esta infectado el archivo o fue creado por un virus.

Thumbs.db, es archivo que el sistema crea para guardar las vistas en miniatura de las carpetas o imagenes del archivo que se encuentre en esa carpeta.

Autorun.inf, este archivo es el que hace que se ejecute el instalador de un programa en los discos de software como por ejemplo el cd de instalacion de windows o de algún programa o juego.
En el caso de los virus el autorun es utilizado para ejecutar el instalador del virus, que como es un virus esta instalación se hace invisible a nuestra vista, existen muchos virus que utilizan este método, como por ejemplo el recycler.

Los archivos init no son virus pero pueden ser creados por estos, es decir, además puede ser un archivo legítimo del sistema pero estar infectado, es decir, su presencia puede estar ocasionada por un virus, y además, forma parte de los archivos "objetivo" infectados por ciertos virus.
Aparte de que pueden alentar la máquina debido a que están haciendo algún proceso, de hecho he notado que mi computadora está un poco lenta, probablemente sea por eso.

El punto ahora es que la memoria ha quedado infectada y nuestra información está oculta, de hecho si introduces tu memoria infectada en tu computadora que no lo está y tu antivirus se encuentra actualizado detectara a el acceso directo como virus y lo eliminará pero existe una probabilidad del 50% que el virus se copie a tu sistema.

Pero que pasa con nuestra información?, para poder visualizarla tendrás que hacer los pasos que explico en mi artículo referente al virus recycler, recuerda que todo en tu memoria usb está oculto. Una vez que hagas los pasos veras una carpeta sin nombre, como la que muestro en la siguiente imagen.

Ahora que ya viste o sabes como visualizar de nuevo tu información y que está sana y salva, hay algunas cosas que quiero comentar.

1.- Para eliminar los archivos antes mencionados solo basta con seleccionarlos y eliminarlos presionando la tecla suprimir o eliminar.

2.- Para proteger tu memoria pudieras hacer el método que explico en mi artículo mencionado pero desgraciadamente este virus se brinca la protección que se les hace a las memorias, por lo tanto ese método queda descartado por el momento.

3.- Te preguntarás el por qué no funciona la protección, quiero suponer que es por el archivo init que se crea, dicho archivo si tu lo borras y tu memoria se vuelve a infectar, se crea uno nuevo con un nombre diferente entonces así es más difícil bloquearlo.

Pero y ahora que hago no se va a poder solucionar nunca

Sigo buscando una solución y como bloquear este virus pero te daré algunas recomenaciones que tal vez y ya lleves a cabo pero no está demás repetirlas:

  • Procura no meter tu memoria en computadoras desconocidas o que creas que tienen virus, como pueden ser la de los cafe internet, la escuela o de algún amigo descuidado.
  • No dejes que introduzcan a tu computadora cualquier memoria usb o dispositivo, pregunta si no está infectada o si creen que lo está, y pasale el antivirus cada vez que la vayan a utilizar. Recuerda que la información es valiosa.
  • No prestes a cualquiera tu laptop o memoria porque no sabes que uso le van a dar o en donde la introducen.

Creo que por ahora es lo que puedo decir acerca de este virus, sigo buscando como bloquearlo para que no siga infectando, y si tu sabes como hacerlo o conoces a alguien que lo haya hecho comparte la información.

9 comentarios:

Vivian Renton dijo...

Amigo, una pregunta, si tengo este virus mi computador quedó infectado también o solo la USB? Gracias

CarlosVader dijo...

Disculpa la tardanza en contestarte.

La respuesta a tu pregunta es que realmente no se puede estar seguro. Se supone que si y te contestaré por qué.

E introducido memorias a mi computadora y no se han infectado, supongo que mi computadora no lo esta.

Puedes escanear la computadora con un antivirus pero realmente no se si detecte el nombre del virus porque como comente no lo sé.

Unknown dijo...

Gracias por tu post, este virus en verdad se ha convertido en mi dolor de cabeza, hace unas dos semanas conecte una memory ajena a mi pc y al ver ese acceso directo tan inusual dentro de la flash me dio mala espina sin embargo por la necesidad de acceder a la informacion no tuve mas remedio que hacer doble click en el icono y de hecho pude ver los archivos. Dias despues conecte mi celular y me quitó el sueño al ver ese icono nuevamente, confirmando asi que era un virus :'(, buscando un poco en la web, corrí algunos programas como el usbfix y el combofix no me ha dado ningun resultado. Como desinfecto mi celu, ya saque la informacion que estaba en esa carpeta sin nombre y reestablecí las configuraciones de fabrica, yo se que mi compu esta infectada pero como saber si mi cel no? Si pudieras sacarme esa duda Carlos te agradeceria, y si encontraste la solucion igual. Estoy que sufro, no se que hacer :(

InKulpado666 dijo...

Bueno yo utilize el Nod32 v6 y me quito ese bicho... ahora para dejar tu usb tal y como estuvo antes de la infeccion hice una pequeña aplicaccion espero que les sirva.

http://www.mediafire.com/download/znmko8ncs42d9ed/USB_Solutions_V.2.exe

InKulpado666 dijo...

Bueno yo utilize el Nod32 v6 y me quito ese bicho... ahora para dejar tu usb tal y como estuvo antes de la infeccion hice una pequeña aplicaccion espero que les sirva.

http://www.mediafire.com/download/znmko8ncs42d9ed/USB_Solutions_V.2.exe

T_N_T dijo...

Existe algun FIX que elimine el virus de mi computadora?,, ya que me sigue infectando cada memoria usb que meto

Robert_Mz dijo...

EL virus se llama Gamarue y es un gusano, si tienes actualizada tu pc baja el antivirus microsoft security essentials y con ese se puede quitar siempre y cuando tengas las ultimas actualizaciones del windows update ya que con eso se corrigen los errores por donde entra el virus.

Unknown dijo...

InKulpado666 olle amigo la aplicación que hiciste solo se ejecuta y listo o tienes que darle la ruta de la usb

Unknown dijo...

Tuve el mismo problema y buscando por la red me encontré con tu blog...excelente información...la verdad es que si es un dolor de cabeza, mas cuando no se sabe le nombre de la infección...y lo que es claro, para tratar con virus siempre es mejor eliminar el problema desde la raíz (la PC) para evitar futuras propagaciones y perdida de datos...lo que yo hice fue instalar el AVG IS en la maquina infectada y no detecto solo 1 sino 10 variantes del bicho, todas asociadas al recycler...bueno luego de que la PC este limpia y protegida se puede eliminar el virus manualmente...Gracias por la info...Buen dia :D